Mitmed kuulsused sihiti sel nädalal rünnakule, mis paljastas alasti fotosid, millest mõned olid tõelised, teised võltsitud - salvestatud Apple iCloud'i kontodele. Siin on see, mida me teame ja mida tähendab sinu pilveturvalisus.

Kuidas olid kuulsuste kontod häkkinud?

Kuulsused, mille iCloud fotod lekkisid, langesid sihitud rünnakute tõttu ohvriks vastavalt Apple'i viimastele aruannetele ja teabele. See tähendab, et kontodesse häkkinud inimesed teadsid tõenäoliselt kuulsuste kontodega seotud e-posti aadresse või said vastata turvalisusküsimustele, mis andsid neile juurdepääsu kontodele.

On veel ebaselge, kuidas hakkasid häkkerid tundma vastuseid konto turvalisuse küsimustele ja saatsid kontode kasutajanimed.

Aga see turvaauk?

Arvati, et häkkerid said iCloudi kontodele juurdepääsu turvarõnga kaudu online-salvestusteenuse "Find My iPhone" funktsioonis, mis võimaldas neil läbi viia brute-force rünnakuid. Brute-force rünnakuga kasutavad häkkerid skripti, et proovida kiiresti erinevaid erinevaid kasutajanime ja parooli kombinatsioone, kuni õige kombinatsioon on arvatav.

Apple paigutas selle augu teisipäeva hommikul vahele ja kinnitas, et see ei ole meetod, mida häkkerid kasutavad kuulsuste kontodesse sisselogimiseks.

Ma ikka ei mõista. Nad on kuulsused.

Vastupidiselt levinud arvamusele kasutavad enamik kuulsusi tehnoloogiat samamoodi nagu enamik teisi kuulsaid inimesi. Apple, Google ja teised suured tech-mängijad ei anna kuulsustele tingimata juurdepääsu erilistele turvaelementidele. Turvalisuse tagamise funktsioonide olemasolu korral loodame, et need ettevõtted jagaksid neid kõigile kasutajatele, mitte ainult privilegeeritud kasutajatele.

Kuulsustel on samad turvavahendid, nii et me oleme tehniliselt kõik võrdselt haavatavad. Kuid kuna nende nägu on ajakirjanduse ja teatriekraanide katted, on nad enamasti suunatud.

Kuulsused ei kasuta alati kättesaadavaid turvaprotokolle. Näiteks, praegu kättesaadava teabe põhjal võisid need kuulsused olla rünnakute eest kaitstud, kui nad kasutasid kaheastmelist kinnitamist, mis lisab täiendava sammu põhilisele sisselogimisprotseduurile.

Miks nad esimesena pilves pilte salvestaksid?

Cloud backup teenused, nagu Apple'i iCloud ja Google'i kiirlaadimine, on vaikimisi lubatud, seega on võimalik, et fotod laaditakse iCloud'isse ilma kuulsuste teadmata.

Näiteks laadib iCloud'i fotovoogude teenus automaatselt Apple'i seadmega tehtud fotod ja salvestab need 30 päeva jooksul iCloudis. Fotovoogude üleslaadimise lubamisel saab neid fotosid kasutada igast seadmest, olenemata sellest, kus sa oled maailmas, kasutades oma iCloudi volitusi.

Kas ma peaksin muretsema?

Kuigi te ei ole Brad Pitt või Cameron Diaz, on hea aeg vaadata läbi oma iCloudi turvalisus. Fotod ei ole ainsad iCloudis salvestatud üksused - teie kontaktid, iOS-seadme asukoht ja märkmed võivad olla ka seal salvestatud. Siin on mõned sammud, mida saate teha:

1. Luba kaheastmeline kinnitamine. Nüüd.

Suurim kaitsevõime jõhkra jõu ja sihtrünnakute vastu on veel kaheastmeline kinnitamine. See ei kaitse teid selliste probleemide eest nagu turvaaugud, kuid see on ikka teie parim kaitse sihitud häkkimise vastu, kus keegi saab teie kasutajanime või vastuseid teie isiklikele turvaküsimustele kontole juurdepääsuks.

Kui see on lubatud, lisab kahe faktoriga autentimine konto sisselogimisele teise autentimise taseme. Üheks tavaliseks näiteks on mobiilseadmele saadetud kood, mida tuleb kasutada lisaks kontole sisselogimiseks kasutatavale kasutajanimele ja paroolile. Järgige neid samme, et seadistada Apple'i ID kaheastmeline kinnitamine.

Pettumuslikult märgib TechCrunch, et Apple'i kaheastmeline sisselogimine on mõeldud ainult kasutajate kaitsmiseks volitamata krediitkaartide ostude eest, kuid see on siiski oluline, eriti kui ettevõte seda järelevalvet korrigeerib.

2. Keelake kõik teenused, mida te tegelikult ei kasuta

Kui andmeid ei esine, pole mingit põhjust seda häkkida.

Kas teil on isegi vaja fotovoogu või muid iCloud teenuseid nagu kontaktide sünkroonimine? Kui ei, siis keelake need teenused. Selleks minge oma iOS-i seadete menüüsse Seaded> iCloud ja keelake mittevajalikud teenused. Seejärel logige sisse iCloud.com-i ja kustutage kõik varem üles laaditud fotovood.

3. Kaaluge võltsitud vastuste kasutamist turvaküsimustele

Kas su ema sündis Chicagos? See on suurepärane, aga te peaksite ilmselt kasutama teistsugust vastust. Viimased aruanded näitavad, et häkkerid kasutasid kuulsuste turvaküsimustele vastamiseks sotsiaalmehhanismi, mis lõppkokkuvõttes andis neile juurdepääsu kontodele. Et vältida frenemieside või häkkerite kontole sisenemist, kaaluge võltsitud, juhuslike vastuste kasutamist, mida nad kunagi ei leia.

4. Tehke sama ka teiste veebiteenuste puhul

Kui olete selle juures, kaaluge samade sammude kordamist teiste pilveteenuste puhul, sealhulgas Dropbox, automaatne varundamine Androidis või isegi Flickr. Mida rohkem vähendate pilve automaatselt üleslaaditud andmeid, seda suurem on teie privaatsete andmete kontroll.

Toimetaja märkus: lugu värskendati kolmapäeval kell 3:39 PST, et kajastada kõige uuemaid aruandeid kaheastmelise kinnitamise kohta ja selle kohta, kuidas häkkerid kontodele juurde pääsevad.